Autore Topic: Problema di sicurezza intrusione e cambio nome utente da sconosciuto (Letto 10361 volte)

Silvio Trisorio · « **il:** 29 Dic 2017, 13:31:28 »

Ciao a tutti,
ho un problema piuttosto serio di sicurezza: ho un sito joomla a cui qualcuno continua a cambiare il nome utente dell'amministratore...non fa danni... ma è alquanto spiacevole... le password di tutto ( cpanel, utente mysql e amministrazione joomla) son molto forti, ma nonostante questo mi viola ogni due o tre gg il sito, in verità me lo fa anche su alcuni siti in wordpress... il nome utente che mette sempre è " indoxploit"... a qualcuno è successo?

Grazie mille.

marine · « **Risposta #1 il:** 29 Dic 2017, 13:35:22 »

Non è che qualcuno che ha le password ti fa uno scherzone?

marine · « **Risposta #2 il:** 29 Dic 2017, 13:36:20 »

In ogni caso metti un titolo più esplicativo al tuo post, problema o aiuto o non funziona, non rendono l'idea e sono troppo generici.

Silvio Trisorio · « **Risposta #3 il:** 29 Dic 2017, 14:00:54 »

Il nome utente lo puoi cambiare solo se hai accesso al db o sbaglio?

marine · « **Risposta #4 il:** 29 Dic 2017, 14:05:35 »

Con una semplice ricerca su google:

https://support.alertlogic.com/hc/en-us/articles/115004991206-09-29-17-IndoXploit-PHP-Shell

Silvio Trisorio · « **Risposta #5 il:** 29 Dic 2017, 14:17:10 »

Grazie ho chiesto al provider di fare una scansione del server

danielecr · « **Risposta #6 il:** 29 Dic 2017, 14:23:00 »

Molto probabilmente non basterà.

Silvio Trisorio · « **Risposta #7 il:** 29 Dic 2017, 14:32:49 »

perchè lo pensi?

danielecr · « **Risposta #8 il:** 29 Dic 2017, 14:37:30 »

Perchè il sito è totalmente compromesso.
Oltre alla shell che la scnasione potrebbe rivelare ci potrebbe essere codice apparentemente innoquo in chissà quale file che ripermetterebbe di riavere l'accesso. Per prima cosa poi dovresti individuare la falla di sicurezza e tapparla, altrimneti sei di nuovo da capo.

Silvio Trisorio · « **Risposta #9 il:** 29 Dic 2017, 15:27:19 »

Faccio bakup periodici di file e db, ne ho anche prima delle intrusioni, solo che nel frattempo ho fatto degli aggiornamenti. Alla peggio cosa ne pensi se cancello tutto e ripristino i files? se li collego ad un bakup del db recente non perdo neanche le modifiche...pensi che possa essere usato il db o anche quello può essere danneggiato?

danielecr · « **Risposta #10 il:** 29 Dic 2017, 18:07:34 »

Penso che non sia sicuro ripristinare i files, a meno che tu non sia certo che i files siano puliti e questo lo puoi fare solo analizzandoli.
Il db di solito è pulito, ma in alcuni casi può essere compromesso, quindi va analizzato anche quello.

PS: la discussione andava scritta nella sezione sicurezza, non joomla 3....

Silvio Trisorio · « **Risposta #11 il:** 29 Dic 2017, 19:12:31 »

Ok, ho provato a piallare la root e istallare tutto da capo, ho tenuto buono solo il db... tenendo db e cartlella immagini non ho perso le modifiche...vediamo che succede.

danielecr · « **Risposta #12 il:** 30 Dic 2017, 09:59:17 »

Come primo tentativo e spero ultimo è buono, cambia ancora una volta tutte le password!

amigamerlin · « **Risposta #13 il:** 30 Dic 2017, 12:06:13 »

Citazione da: marine - 29 Dic 2017, 14:05:35

Con una semplice ricerca su google:

https://support.alertlogic.com/hc/en-us/articles/115004991206-09-29-17-IndoXploit-PHP-Shell

Dal link postato da Marine è eveidente che non è un problema di joomla ma dell'ISP che gestisce il server.
Personalmente procederei a step. Cambierei ISP in primis. In secundis avendo a disposizione un backup, ripristinerei il sito e proverei ad effettuare una scansione dello stessa tramite sucury site checker per comprendere se nello stesso vi sia o meno qualche codice malevolo.

In merito al DB verificherei le tabelle e se è presente qualche componente / modulo / plugin strano di cui disconosci la funzionanlità.

Ciao

danielecr · « **Risposta #14 il:** 30 Dic 2017, 12:13:58 »

Perchè dovrebbe essere un problema dell'isp? L'isp è l'internet service provider, al massimo del web hoster.
Comunque indoxploit è una shell php come un'altra, che si può caricare sfruttando le falle di sicurezza di joomla e sue estensioni.

amigamerlin · « **Risposta #15 il:** 30 Dic 2017, 12:57:54 »

Citazione da: danielecr - 30 Dic 2017, 12:13:58

Perchè dovrebbe essere un problema dell'isp? L'isp è l'internet service provider, al massimo del web hoster.
Comunque indoxploit è una shell php come un'altra, che si può caricare sfruttando le falle di sicurezza di joomla e sue estensioni.

E come la definisci l'installazione non autorizzata di una shell php se non una falla ENORME di sicurezza del tuo ISP ? Com'è altrimenti possibile ? Hai letto la pagina linkata di marine? Si parla di server vulnerabili e configurati in maniera non corretta. Hai una vps? Hai configurato tu il tuo spazio? In caso positivo fatti aiutare da persone esperte. In caso negativo la responsabilità é del tuo isp.

danielecr · « **Risposta #16 il:** 30 Dic 2017, 13:07:13 »

Ripeto che l'isp non centra proprio nulla; con isp ci si riferisce all'internet service provider, quello che dà la connessione a internet, telecom, eolo, fastweb, o quello che preferisci.
Perchè mai telecom dovrebbe bloccare il caricamento di una shell? Le shell sono strumenti amministrativi.

amigamerlin · « **Risposta #17 il:** 30 Dic 2017, 13:25:14 »

Citazione da: danielecr - 30 Dic 2017, 13:07:13

Ripeto che l'isp non centra proprio nulla; con isp ci si riferisce all'internet service provider, quello che dà la connessione a internet, telecom, eolo, fastweb, o quello che preferisci.
Perchè mai telecom dovrebbe bloccare il caricamento di una shell? Le shell sono strumenti amministrativi.

credo tu sia un po confuso. ISP = Internet service provider. Fornitore servizi internet. Il sito web unitamente al nome, allo spazio a php, mysql cgi etc sono servizi internet. Non centra nulla telecom che fornisce semplicemente la connessione. aruba ad esempio é un ISP.

danielecr · « **Risposta #18 il:** 30 Dic 2017, 13:38:00 »

Quello che descrivi è il web hoster, non l'isp, sito web, php e tutte le cose che elenchi non centrano proprio nulla con l'isp. aruba è un isp quando ti fornisce una linea dati. Comunque, molto probabilmente non è colpa del web hoster, ma di aggiornamenti ritardati o estensioni fallate.

amigamerlin · « **Risposta #19 il:** 30 Dic 2017, 14:03:37 »

Citazione da: danielecr - 30 Dic 2017, 13:38:00

Quello che descrivi è il web hoster, non l'isp, sito web, php e tutte le cose che elenchi non centrano proprio nulla con l'isp. aruba è un isp quando ti fornisce una linea dati. Comunque, molto probabilmente non è colpa del web hoster, ma di aggiornamenti ritardati o estensioni fallate.

.

ISP : https://it.wikipedia.org/wiki/Internet_service_provider Telecom è un ISP di primo livello. Quando ho scritto che telecom non c'entra era riferito alla problematica che stai riscontrando e la stessa deve essere cercata nella vulnerabilità del tuo ISP (ISP di secondo livello - Fornitore di altri serviz internet) Il web hosting a cui tu ti riferisci è uno dei Servizi offerti dagli ISP al pari delle VPS, dei server, e di tutti gli altri servizi correlati.

In ogni caso, se il concetto su espresso inerente l'installazione non autorizzata di una shell php costituisce una falla di sicurezza del tuo ISP (chiamalo come meglio credi), che permette l'esecuzione di processi senza un adeguato controllo sulla utenza, ti è estraneo, ti faccio i miei migliori auguri nella ricerca e risoluzione in maniera definitiva della probelmatica.

Quanto descrivi non è compresa nelle vulnerabilità note di joomla (nessuna delle versioni fino alla attuale).

danielecr · « **Risposta #20 il:** 30 Dic 2017, 14:07:43 »

Quindi il tuo web hoster, o isp, chiamalo come vuoi, ti impedisce l'upload e l'uso di shell php?

Citazione

Quando ho scritto che telecom non c'entra era riferito alla problematica che stai riscontrando e la stessa deve essere cercata nella vulnerabilità del tuo ISP

Ma io non ho nessun problema..

Citazione

Quanto descrivi non è compresa nelle vulnerabilità note di joomla

?

amigamerlin · « **Risposta #21 il:** 30 Dic 2017, 14:47:05 »

Citazione da: danielecr - 30 Dic 2017, 14:07:43

Quindi il tuo web hoster, o isp, chiamalo come vuoi, ti impedisce l'upload e l'uso di shell php?

Se lo fanno altri a mia insaputa si !!

Citazione da: danielecr - 30 Dic 2017, 14:07:43

Ma io non ho nessun problema..

Ottimo ... allora di che stiamo discutendo? Probabilmemte ci risentiremo per la stessa problematica

.

Buona fortuna.

danielecr · « **Risposta #22 il:** 30 Dic 2017, 14:50:18 »

Quindi se sfruttando una falla di joomla, come una sql injection, o una vulnerabilità di una sua estensione e riesco a recuperare il configuration.php, riesco ad accedere al backend o all'ftp, se lo hai configurato, e dal backend o via ftp ti carico una shell, il tuo "isp" se ne accorge?
E' un'intelligenza artificiale pazzesca...
Non lo so, sei tu che hai proposto, a mio avviso erroneamente, di ricercare la causa in quello che tu chiami isp, di caricare un backup dei files, probabilmente infetti, e di effettuare una scansione con il tool online di sucuri, che mai potrà dare un rapporto dettagliato.
Se hai una shell sul tuo spazio col cavolo che sucuri te la trova..

Buona fortuna a te!

amigamerlin · « **Risposta #23 il:** 30 Dic 2017, 15:04:31 »

Citazione da: danielecr - 30 Dic 2017, 14:50:18

Non lo so, sei tu che hai proposto, a mio avviso erroneamente, di ricercare la causa in quello che tu chiami isp, di caricare un backup dei files, probabilmente infetti, e di effettuare una scansione con il tool online di sucuri, che mai potrà dare un rapporto dettagliato.

Buona fortuna a te!

1) Allora non sono io ad avere avuto i problemi !!!
2) Non ho chiesto io aiuto al forum.
3) Di solito non si "piallano" i siti infetti con contenuti importanti. Quanto consigliato era il primo passo. Di solito si procede a livelli, ma non è questo il tuo caso; tu preferisci usara la "pialla"

4) Usa google per tadurre il ink inviato da Marine per comprendere quanto sto cercando inutimente di farti capire.

Overview The IndoXploitPHP web shell provides remote access to allow for other files and content to be uploaded to a compromised web server. The uploading of files is only one feature of this toolset. The developers of the code look to be based in Indonesia and specialize in PHP hacks.
.....

Vulnerability Description
This PHP web shell provides remote access to allow for other files and content to be uploaded to a compromised web server. It looks to be a small part of the IndoXploit shell suite of tools used to compromise Content Management Systems running LAMP stacks. The uploading of files is only one feature of this toolset.
Other parts of the toolset not seen in this code include OS Commanding, Mass Defacement, Search for Configuration Files, Jumping to Different User Accounts, Crack Cpanel Passwords, grab SMTP Logins, automatically submit the defaced site to Zone-H, add or edit usernames on various CMSs, and more.
...............

Di nuovo Buona fortuna. Credo che presto o tardi riutilizzerai questo thread.

danielecr · « **Risposta #24 il:** 30 Dic 2017, 15:06:23 »

Ma forse faresti meglio a leggertelo bene tu il thread, non l'ho aperto io....

amigamerlin · « **Risposta #25 il:** 30 Dic 2017, 15:11:44 »

Sei stato tu a quotare la mia risposte.

danielecr · « **Risposta #26 il:** 30 Dic 2017, 15:14:41 »

Passo e chiudo, leggiti questo:
http://forum.joomla.it/index.php/topic,117151.0.html

Magari se non sei daccordo puoi sempre chiedere a un moderatore di modificare la discussione, soprattutto nella parte in cui si dice:

Citazione

o chiedete all'hoster di farlo per voi

con

Citazione

o chiedete all'ISP di farlo per voi

amigamerlin · « **Risposta #27 il:** 30 Dic 2017, 15:18:39 »

Citazione da: danielecr - 30 Dic 2017, 15:14:41

Passo e chiudo, leggiti questo:
http://forum.joomla.it/index.php/topic,117151.0.html

Magari se non sei daccordo puoi sempre chiedere a un moderatore di modificare la discussione, soprattutto nella parte in cui si dice:
con

Eppure hai tutti gli spunti per approfodire ed incrementare la tua cultura informatica. Si vede che leggi poco.

miao · « **Risposta #28 il:** 30 Dic 2017, 15:32:43 »

State parlando della stessa cosa

o vi confondete con l'hoster

si l'isp è anche l'hoster! non grande come tim o fastweb ma è un isp diciamo di 2° livello perchè il vero è quello che ti da la connessione internet

ciao

edit : o hanno il server bucato e allora deve chiedere al isp/hoster o ha un file malevole .. isp vero (tim fastweb) non c'entra nulla

amigamerlin · « **Risposta #29 il:** 30 Dic 2017, 15:58:48 »

Citazione da: Silvio Trisorio - 29 Dic 2017, 19:12:31

Ok, ho provato a piallare la root e istallare tutto da capo, ho tenuto buono solo il db... tenendo db e cartlella immagini non ho perso le modifiche...vediamo che succede.

Mi scuso anticipatamente con Silvio Trisorio per quanto potrà leggere nel suo thread.
Restano comunque validi i contenuti espressi dallo scrivente in relazione alla vulnerabilità del suo ISP in caso di VPS managed o shared hosting.

Infatti sempre ad avviso dello scrivente, se la falla non verrà chiusa, sarà inevitabile, purtroppo, il riproporsi della problematica

.

Discorso diverso se la gestione della VPS è autonoma. In questo caso sempre di falla di sicurezza si tratta ma la "cura" deve essere posta in essere dal gestore della vps.

Sarebbe stato interessante comprendere se l'infezione è avvenuta su una VPS di propria gestione, Managed oppure su uno spazio in Shared hosting per comprendere la probabile estensione dell'hacking stesso.

Buona serata e buon anno a tutti.

tomtomeight · « **Risposta #30 il:** 30 Dic 2017, 16:04:56 »

Dare la colpa al servizio hosting senza cognizione di causa è sbagliato oltre che improprio. Consiglio Silvio Trisorio di leggere le linee guida di questa sezione.

giusebos · « **Risposta #31 il:** 30 Dic 2017, 18:05:58 »

Citazione da: marine - 29 Dic 2017, 13:36:20

In ogni caso metti un titolo più esplicativo al tuo post, problema o aiuto o non funziona, non rendono l'idea e sono troppo generici.

è ammesso "vi prego"?